Ich würde gerne einen Reverse-DNS ausprobieren, bevor ich die Firewall-Logs speichere. Ich weiß, dass das in Logstash möglich ist, aber ich weiß nicht, ob Syslog-ng so konfiguriert werden kann, dass es dasselbe macht. Tatsächlich werden meine Logs von pfsense mit einem CSV-Parser analysiert:
parser p_pfsense {
csv-parser(
columns("PFSENSE.Rule_Number","PFSENSE.Sub_rule_number",...)
delimiters(",")
);
};
Dann habe ich bereits alle Firewall-Felder wie ${PFSENSE.sourceip}, weiß aber nicht, ob ein Feld vor dem Speichern von einem externen Skript verarbeitet werden kann.
Bitte beachten Sie, dass ich nicht nach dem Hostnamen (${HOST}) des Absenders frage, sondern nach einem IP-Feld innerhalb der Protokollnachricht.
Antwort1
Sie können für identifizierte Nachrichten eine Aktion auslösen, wie erläutertHier. InErdmännchenEin Anwendungsbeispiel finden Sie.